IPsec セキュリティアソシエーション
IPsec セキュリティアソシエーション (SA) では、ホスト間の通信で認識されるセキュリティ属性を指定します。一般的に、ホスト間で安全に通信するには、2 つの SA が必要です。1 つの SA は、1 方向のデータを保護します。つまり、1 つのホストかグループ (マルチキャスト) アドレスのどちらかです。ほとんどの通信は、ピアツーピアまたはクライアントとサーバー間で行われるため、両方向のトラフィックを保護するには、2 つの SA が必要です。
セキュリティプロトコル (AH または ESP) 、宛先 IP アドレス、およびセキュリティパラメータインデックス (SPI) は、IPsec SA を識別します。任意の 32 ビット値の SPI は、AH パケットまたは ESP パケットで転送されます。AH および ESP によって保護される範囲については、 ipsecah(7P) と ipsecesp(7P) のマニュアルページを参照してください。完全性チェックサム値を使用して、パケットを認証します。認証が失敗すると、パケットがドロップされます。
SA は、SA データベースに保存されます。ソケットベースの管理エンジン pf_key(7P) インタフェースにより、特権をもつアプリケーションでそのデータベースを管理できます。in.iked(1M) デーモンにより、自動キー管理が可能になります。
キー管理
SA には次の情報が含まれます。
-
暗号化や認証に必要なキー情報
-
使用できるアルゴリズム
-
エンドポイントの識別情報
-
システムによって使用されるその他のパラメータ
SA では、認証や暗号化のためのキー情報が必要です。認証と暗号化に必要な SA のキー情報の管理をキー管理といいます。IKE (インターネットキー交換) プロトコルにより、キー管理が自動的に行われます。また、ipseckey(1M) コマンドを指定して、キー管理を手動で行うこともできます。現在、IPv4 パケットの SA は自動キー管理を使用できますが、IPv6 パケットの SA は手動でキー管理を行う必要があります。
IPv4 の暗号キーを IKE で自動的に管理する方法については、IKE の概要を参照してください。システム管理者が ipseckey コマンドを指定して、暗号キーを手動で管理する方法については、キーユーティリティを参照してください。
- © 2010, Oracle Corporation and/or its affiliates